有两个病毒每次重启后用瑞星杀毒都可以查出，也显示清除成功，但是下次继续出现。电脑在升级瑞星的过程中经常出现蓝屏、红屏和绿萍（实在不明白）

瑞星检测的病毒如下：
文件名                            病毒名
svchost.exe                  Backdoor.PcShare.f
iexplore.exe                  Backdoor.PcShare.f

请问到底如何解决？
非常感谢！！！！！！！！！！！

扫描日志如下：
Logfile of HijackThis v1.99.1
Scan saved at 17:27:24, on 2005-9-7
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Maxthon\Thundermini\ThunderMini.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Documents and Settings\redfox\My Documents\bitnet3.0.2.exe
C:\Program Files\Maxthon\Thundermini\TDUpdate.exe
C:\WINDOWS\system32\spool\drivers\w32x86\2\CAPPSWN.EXE
C:\Documents and Settings\redfox\Local Settings\Temp\GMon.exe
C:\WINDOWS\system32\CAPRPCSN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\2\CAPPSWN.EXE
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
C:\Documents and Settings\redfox\My Documents\155847200541134207\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [thunder_mini] C:\Program Files\Maxthon\Thundermini\ThunderMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BitNet] C:\Documents and Settings\redfox\My Documents\bitnet3.0.2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Canon LBP-800 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\2\CAPPSWN.EXE
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: &使用迷你迅雷下载 - C:\Program Files\Maxthon\Thundermini\geturl.htm
O8 - Extra context menu item: 使用Kugoo下载 - G:\PROGRA~1\KUGOO2\KugooDownX.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9FDDBAF-8C29-4B6E-BB23-DA98008BF0F3}: NameServer = 10.0.0.10
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

有人能帮忙吗？

【回复“枝上柳绵”的帖子】
ZT：
PcShare,PcClient后门手工解决方案

这几天PcShare，PcClient等驱动级的木马开始流行，极尽隐藏之事，不借助一些工具根本无法清除干净，下面就用户可能遇到的一些情况分别给予说明，并介绍手工查杀的方法。



Backdoor/PcShare.ch木马运行后，在系统盘的驱动目录下生成病毒驱动文件Ywvpysxl.sys，我的系统盘在c盘，这个文件的路径为C:\WINDOWS\system32\drivers\下面，并在C:\WINDOWS\system32\目录下生成文件Ywvpysxl.d1l,注意这个后缀不是dll，它中间那个是数字1，而不是字母l。注册表中还有相关键值，保证了每次启动时驱动都能够被加载，甚至是在安全模式下d1l也能够被运行。因此安全模式下不借助工具该病毒也无法被清除。



打开工具IceSword，在pluto1313版主的网络优盘中有下，点击进程图标，会看到有红色的进程浏览器Iexplorer在运行，表明它是一个隐藏进程。不要试图结束它，没有用的。再点击SSDT图标，查看其中红色的被修改的服务地址，在我做试验的这台机器上如下图所示，病毒hook了显示注册表和遍历进程的函数地址，因此普通的进程查看软件无法看到它。但是IceSword可以看到。这个原理就不说了。



准备工具：KillFiles（同样到上面版主的空间去下），最好放到桌面以方便运行。



下面介绍一种比较安全的方式来清除该病毒，重启计算机进入安全模式。
1.进入C:\WINDOWS\system32\drivers\下面，删除Ywvpysxl.sys文件。
2.运行上面提到的KillFiles工具，在文件名对话框中输入Ywvpysxl.d1l，注意这个后缀中间是数字1，最后一个是字母l，一个都不要输错，否则会找不到该文件，确保上面的单选框为"直接删除",点击确定就可以了，如果删除成功，会弹出提示"文件已被成功清除",这时就已经初步成功了。
3.打开注册表编辑器，（在运行对话框中输入regedit），在注册表中以Ywvpysxl作为关键字搜索，将搜到的键值删除即可。至此，病毒被成功清除。



第2步中的方法也可以用Sysinternals公司的ProcessExplorer这个工具来完成，在网上就可以搜索到，运行后点击Process标签，让进程以进程树的方式显示，这时可以看到IE仍在运行，但它的父进程是svchost.exe，注意系统中会有很多的svchost进程，不要全部结束，结束启动IE的进程就可以了，也就是IE进程上面的svchost文件，选中这个svchost进程，选鼠标右键中的Kill Process Tree，点确定就可以了，就结束了病毒体的运行，然后到C:\WINDOWS\system32\下删除Ywvpysxl.d1l。
如果嫌上面提到的步骤麻烦，还是推荐使用我提到的KillFiles工具，不过它不是很完善，一些情况下会出错，本人不对用户误使用该程序造成的损失负任何责任。



PcShare，PcClient等病毒的变种清除方法大都如此，用户可以参考此文清除其他的变种。

请问pluto1313版主的网络优盘的地址是什么？
弱弱的问：KillFiles 是Killbox 吗？

引用:

【枝上柳绵的贴子】请问pluto1313版主的网络优盘的地址是什么？ 弱弱的问：KillFiles 是Killbox 吗？ ...........................

http://free.ys168.com/?pluto1313

非常感谢“花落花又开”
我在安全模式下找到的是Ycshijim.sys；不管三七二十一，删了这个
然后用Killfiles删了Ycshijim.d1l

问题是，在注册表中搜寻到的Ycshijim键值无法删除
请问怎么解决？

对于这个顽固病毒,KILL最新版本在安全模式下可查杀.